5 Min. LesezeitDigital Workplace

Gruppenrichtlinien in den Endpoint Manager migrieren

A man with a beard and a white shirt.
Chris ArmstrongSecurity Pre-Sales Lead
A woman's finger is pointing at a colorful screen.

Microsoft hat vor kurzem einige interessante Updates veröffentlicht, welche die Migration zu einer reinen Cloud-Verwaltung für Ihre Endgeräte einfacher denn je machen. Mit der Einführung der Migrationsfunktion für Gruppenrichtlinienanalyse können Sie jetzt Ihre Richtlinien analysieren und schnell Profile mit den entsprechenden Einstellungen erstellen, aber ist dies der richtige Ansatz für Ihr Unternehmen?

Hintergrund

Gruppenrichtlinien gibt es in ihrer grundlegenden Form seit der Veröffentlichung von Windows 2000, wobei die Verwaltung von Gruppenrichtlinien und Einstellungen seit der Veröffentlichung von Windows Server 2008 alltäglich ist. Die meisten Unternehmen, mit denen ich zusammenarbeite, haben seit der allgemeinen Verfügbarkeit der Verwaltungskonsole für Gruppenrichtlinien Richtlinien erstellt, was dazu führte, dass in ihrer Umgebung Dutzende, wenn nicht Hunderte von Gruppenrichtlinienobjekten vorhanden sind.

Modernes Management

Microsoft hat stark in das Angebot von Microsoft Endpoint Manager (früher Intune) investiert. Das Produkt hat inzwischen einen Reifegrad erreicht, bei dem Unternehmen vom traditionellen, mit Active Directory verbundenen und über Gruppenrichtlinien verwalteten Ansatz zu einer umfassenden Cloud-Verwaltungsstrategie übergehen, die den Bedarf an einer komplexen und kostspieligen Infrastruktur vor Ort reduziert.

Modernes Management ist in den letzten Jahren aufgrund der massiven Verlagerung hin zu Remote-Arbeit und der Verteilung der Mitarbeiter beliebter geworden. Es beseitigt die Abhängigkeit von herkömmlichen VPN-Verbindungen sowie Probleme wie das "Herausfallen" von Maschinen aus der Domäne. Durch die korrekte Implementierung eines modernen Managements können Unternehmen sicherstellen, dass Maschinen ihre Standards und Sicherheitsgrundlagen einhalten, unabhängig davon, ob der Benutzer im Büro, zu Hause oder beim Kaffeetrinken ist.

Auch Auto Pilot ist für viele Unternehmen zu einem wichtigen Thema geworden, da einige neue Mitarbeiter noch nie ein Firmenbüro von innen gesehen haben. Die Möglichkeit, Ausrüstungen zu bestellen und direkt nach Hause zu liefern, hat die Einführungserfahrung sowohl für die IT-Abteilung als auch für den Endnutzer erheblich verbessert.

Dennoch sind viele Unternehmen noch dabei, die ersten Schritte auf dem Weg zu einem modernen Management zu machen, und das beginnt in der Regel damit, den aktuellen Zustand in den zukünftigen Zustand zu übertragen.

Das "Heben und Shieben"

Eine der wichtigsten Fragen, die mir zu Beginn eines Endpoint Management-Projekts immer gestellt wird, lautet: "Wir müssen alle unsere Gruppenrichtlinien migrieren, wie machen wir das?"

Mit der Einführung der Migrationsfunktion in Group Policy Analytics ist dies nun einfacher denn je. Sie können diese Richtlinienobjekte exportieren und direkt in Endpoint Manager hochladen, um sie automatisch analysieren zu lassen.

Group Policy Migration to Microsoft Endpoint Manager , step 1 | source: Microsoft
Group Policy Migration to Microsoft Endpoint Manager , step 2 | source: Microsoft
Group Policy Migration to Microsoft Endpoint Manager , step 2 | source: Microsoft

Sie können oben sehen, wie einfach dieser Prozess gemacht wurde. Innerhalb von ein paar Minuten konnte ich ein GPO sichern und es an Endpoint Manager senden, der mir dann mitteilt, welche Einstellungen in der Cloud unterstützt werden.

Die jüngste Änderung an diesem System ist die Einführung der Schaltfläche "Migrieren". Damit kann ich sofort ein Gerätekonfigurationsprofil auf der Grundlage der Einstellungen aus meinem Gruppenrichtlinienobjekt erstellen.

Setting up  a device configuration profile | source: Microsoft

Sobald ich mein Profil erstellt habe, kann ich es den Geräten zuweisen, die von Endpoint Manager verwaltet werden, und die Bereitstellung über die Konsole verfolgen. Dies hat den Ansatz zur Migration von Gruppenrichtlinienobjekten erheblich vereinfacht und nimmt diesem Prozess viel manuelle Arbeit ab. Sollten Sie es dennoch verwenden?

Das Problem

Im Gegensatz zu allem, was ich oben darüber gesagt habe, dass dies den Übergang leichter macht als je zuvor, würde ich in 99 % der Fälle diesen Ansatz nicht empfehlen.

Und warum? Beginnen wir mit dem Hauptproblem: Gruppenrichtlinien sind seit mehr als 10 Jahren weit verbreitet. Für einige Unternehmen bedeutet dies, dass sich in den letzten 10 Jahren eine Vielzahl von Richtlinien angesammelt hat. Bei näherer Betrachtung werden die meisten dieser Richtlinien Einstellungen enthalten, die nicht mehr im Entferntesten relevant sind oder es seit Windows XP nicht mehr sind. Selbst mit modernen Werkzeugen und Analysen kann es vorkommen, dass wir Richtlinien übernehmen, die gar nicht mehr relevant sind, und uns damit mehr Arbeit machen.

Im Zusammenhang mit Gruppenrichtlinien wird auch häufig der Begriff "bewährte Verfahren" verwendet. In einigen Unternehmen mag dies der Fall sein, doch auf die Frage, wann die Richtlinien das letzte Mal überarbeitet wurden, um sicherzustellen, dass sie immer noch den Best Practices entsprechen, herrscht oft Schweigen im Raum. Glücklicherweise ist dies ein weiterer Bereich, in dem Microsoft einen großen Teil der Arbeit abgenommen hat, die normalerweise eine ermüdende jährliche Überprüfung der Richtlinien darstellt. Durch die Verwendung der in Endpoint Manager veröffentlichten Sicherheitsrichtlinien können wir sicherstellen, dass wir über eine aktuelle, bewährte Konfiguration verfügen, die für einen modernen Endgerätebestand relevant ist. Microsoft übernimmt auch die schwere Arbeit, indem es neue Versionen der Baseline erstellt und sie Ihnen vor der Bereitstellung zur Überprüfung zur Verfügung stellt.

Ich könnte noch viele andere Gründe aufzählen, warum dies nicht der beste Ansatz ist, aber lassen Sie uns stattdessen den Spieß umdrehen und fragen: Welchen Vorteil bringt uns ein Neuanfang?

Ein Neuanfang ermöglicht es uns, den Reset-Knopf für unsere Endbenutzererfahrung zu drücken. Wir beginnen mit den vom Hersteller genehmigten Best Practices und passen die Richtlinien bei Bedarf an. Auf diese Weise können Fehler im System" beseitigt werden, bei denen die Benutzer aufgrund der alten Richtlinienkonfiguration an bestimmte Fehler oder Probleme gewöhnt sind, und es bedeutet auch, dass unsere gesamte Konfiguration relevant und aktuell ist.

Es gibt bestimmte Anwendungsfälle für dieses Tool, aber im Allgemeinen, ähnlich wie bei anderen Cloud-Migrationen, ist Re-Architect dem Re-Host weit überlegen.

Microsoft hat es einfacher als je zuvor gemacht, Ihre Gruppenrichtlinienobjekte in die Cloud zu verschieben, aber dies sollte mit Bedacht eingesetzt werden. Die Umstellung auf eine moderne Verwaltung ist eine gute Gelegenheit, den Reset-Knopf zu drücken und neue Richtlinien für Ihr Unternehmen zu erstellen, die für die heutige Arbeitsweise Ihrer Mitarbeiter angemessen und relevant sind.

A green field with a river running through it.

Cloud Security

Stärken Sie Ihre Cloud-Security durch Regel-gesteuertes, 24/7 Configuration Scanning

Cloud Security

Stärken Sie Ihre Cloud-Security durch Regel-gesteuertes, 24/7 Configuration Scanning

Author

A man with a beard and a white shirt.

Chris Armstrong
Security Pre-Sales Lead